8. EU-Audit-Richtlinie gibt Anlass zur Sorge

Compliance-Probleme: Völcker Informatik warnt deutschen Mittelstand vor EU-Pendant zu SOX
Eckhard Völcker: "Die meisten Unternehmen sind auf verschärfte gesetzliche Regelungen nicht vorbereitet"

(08.03.07) - Die Völcker Informatik AG warnt kleinere und mittelständische Unternehmen in Deutschland vor den straf- und zivilrechtlichen Folgen, die sich künftig aus einem Verstoß gegen Vorschriften im Zusammenhang mit der Kontrolle und Transparenz in der Finanzberichterstattung ergeben könnten. Die Tatsache, dass eine Kommission in Brüssel derzeit an der 8. EU-Audit-Richtlinie arbeite, biete hinreichend Anlass zur Sorge, da der Gesetzgebungsprozess stark vom amerikanischen Sarbanes-Oxley Act beeinflusst wird.

"Es ist durchaus denkbar, dass es schon bald auch in den Ländern der Europäischen Union eine strikte Regelung gibt, nach der Unternehmens- und Finanzchefs ausdrücklich die Korrektheit, Nachvollziehbarkeit und Sicherheit der Prozesse bestätigen müssen. Liegen falsche Angaben vor, haften CFO und CEO persönlich", mahnt Eckhard Völcker, Vorstandsvorsitzender bei Völcker Informatik, und erinnert daran, dass in den USA jeder zweite Finanzchef bereits wenige Monate nach Erlass des Sarbanes-Oxley-Acts wegen Unregelmäßigkeiten den Stuhl vor die Tür gestellt bekam.

Kritisch ist die Situation entsprechend auch für jeden CIO, der für die Informations- und Kommunikationsprozesse verantwortlich ist. Viele seiner Entscheidungen sind die Basis für strategische Weichenstellungen des Unternehmens. Laut Völcker Informatik habe die künftige EU-Richtlinie auch für die IT eine erhebliche Bedeutung. So müsste in Zukunft unter anderem auch jederzeit die Berechtigungsvergabe für jeden Teilprozess zur Erstellung eines Unternehmensberichtes testierbar und historisch verfügbar sein.

"Es ist zu erwarten, dass diesbezüglich die wenigsten kleinen und mittelständischen Unternehmen auf den Tag X vorbereitet sind", befürchtet Eckhard Völcker. Abhilfe schafft ein so genannter Web-basierter Employee Self Service für die Beantragung und Freigabe von Zugriffsrechten. Dadurch wird die nachlässige Handhabe vieler Mitarbeiter mit unnötigen oder schlimmstenfalls unzulässigen Berechtigungen von vornherein ausgeschlossen. "Nicht selten werden in Unternehmen Zugriffsrechte untereinander ausgetauscht, ohne dass darüber nachgedacht wird, welche weit reichenden Konsequenzen das haben kann", berichtet Eckhard Völcker.

Die Sicherstellung des Freigabeprozesses werde durch die Einführung von Genehmigungs-Workflows erreicht. Eine Freigabe darf dann nur noch durch speziell dafür autorisierte Personen erteilt werden. Mit dem Einsatz einer entsprechenden Lösung lasse sich außerdem jederzeit feststellen, welchem Mitarbeiter welche Berechtigung zu welchem Zeitpunkt zugestanden hat. "Im Optimalfall erteilt diese Lösung auch Auskunft darüber, zu welchem Zweck und von wem die Berechtigung vergeben wurde", so Eckhard Völcker.

Der Einsatz eines herkömmlichen Verzeichnisdienstes könne diese Anforderung nicht erfüllen, da dieser keine historischen Daten aufzeichnet. "Von erheblicher Bedeutung ist darüber hinaus, dass bestimmte Mechanismen dafür Sorge tragen, dass alle Zugänge und Berechtigungen automatisch und sofort gesperrt werden, wenn ein Mitarbeiter das Unternehmen verlässt."

Eckhard Völker weist darauf hin, dass allein durch technische Lösungen die Vorgaben der 8. EU-Audit-Richtlinie nicht zu verwirklichen sind. Dafür sei vor allem die Etablierung einer entsprechenden Unternehmenskultur notwendig, die von den Führungskräften vorgelebt und von den Mitarbeitern verinnerlicht wird. "Durch die Automation der Vorgänge bei der Rechtevergabe werden aber manuelle Tätigkeiten vermieden und damit die Fehlerquote, die auch aus der wachsenden Anzahl und Komplexität der eingesetzten IT-Systeme resultiert, minimiert." (Völcker: ra)